GRANDHAYE Antoine TP 2 - FIREWALL 18/09/2014

CISCO

18 septembre 2014

Créé par : GRANDHAYE Antoine

TTTPPP 222 ::: FFFIIIRRREEEWWWAAALLLLLL

Exercice PT 5.5.1 : listes de contrôle d’accès de b ase

1

TP 2

: FI

RE

WAL

L |

18

/09

/20

14

TP 2 : FIREWALL

Exercice PT 5.5.1 : listes de contrôle d’accès de base

Objectifs

• Configurer routeur et commutateurs

• Configurer une liste de contrôle d’accès standard

• Configurer liste une de contrôle d’accès étendue

• Contrôle l’accès aux lignes vty avec une liste de contrôle d’accès standard

• Dépanner des listes de contrôle d’accès

Tâche 1 : configurations de base de routeurs et de commutateurs

REINITIALISATION

Tout d’abord, réinitialiser le commutateur est toujours préférable afin de commencer le TP sur

des bases saines.

NOM D’HOTE

Ensuite, la configuration des routeurs et des commutateurs commence par l’attribution de noms en accord avec la topologie (Schéma page de garde).

La commande

#erase startup-config

Permet d’effacer toute configuration

sur Comm1

Puis,

#reload

Pour redémarrer le commutateur.

2

TP 2

: FI

RE

WAL

L |

18

/09

/20

14

Pour les deux éléments, la procédure est la même :

DESACTIVER RECHERCHE DNS

On désactive la recherche DNS sur les 6 éléments concernés.

La commande

#hostname Comm1

Permet donc d’attribuer Comm1

comme non d’hôte au

commutateur.

La commande

R1(config)#no ip domain-lookup

Désactive la recherche DNS sur R1

3

TP 2

: FI

RE

WAL

L |

18

/09

/20

14

MOT DE PASSE (ENABLE, CONSOLE ET TELNET)

Attribut class comme mot de passe pour le mode d’exécution.

Attribut le mot de passe cisco pour les terminaux virtuels 0 à 4

(VTY)

Attribut le mot de passe cisco pour l’accès au port console et Telnet.

BANNIERE DE MESSAGE DU JOUR

La bannière de message de

connexion se configure avec cette

commande :

A ce stade, il est recommandé d'enregistrer régulièrement la configuration à l'aide de la

commande suivante (à effectuer en mode

privilégié):

Comm1(config) #enable secret class

Comm1(config)#line vty 0 4

Comm1(config-line)#password cisco Comm1(config-line)#exit

Comm1(config)#line con 0 Comm1(config-line)#login

Comm1(config-line)#password cisco Comm1(config-line)#exit

R1(config)#banner motd # Texte #

#copy running-config startup-config

4

TP 2

: FI

RE

WAL

L |

18

/09

/20

14

CONFIGURATION IP + MASQUE

Afin de configurer les adresses IP et leurs masque sur les différents éléments du réseau,

l’interface graphique peut être utilisé.

Pour plus de précision sur les

interfaces DCE (comme la

fréquence d’horloge), l’utilisation du CLI est à opter.

PROTOCOLE OSPF

C’est un protocole de routage à état de lien, on retrouve les mêmes objectifs que le protocole

RIP mais avec une meilleure performance.

• Table de routage avec les

meilleures routes (avec un algorithme SPF)

• Converger au plus vite vers une table de routage optimale

Chaque routeur découvre son voisinage et

conserver une liste de ses « voisins » et

établie donc la meilleur route possible dans

la table de routage.

R1(config)#interface serial 0/0/0

R1(config-if)#ip address 10.1.1.1 255.255.255.252

R1(config-if)# clock rate 64000

R1(config-if)#no shutdown

R1(config-if)#description Interface DCE

5

TP 2

: FI

RE

WAL

L |

18

/09

/20

14

INTERFACE DE BOUCLAGE (R2)

Le routeur R2 est connecté à deux autres routeurs (R1 et R3) et voici la configuration d’une

interface « Loopback » :

Qu’est-ce qu’une interface « Loopback » ?

Il s’agit d’une interface virtuelle, créée par configuration et qui a la particularité de toujours être up/up. D’un point de vue fonctionnement du routeur, cette interface est perçue comme une interface physique (ou presque).

Quelles ut i l ités ?

• Simuler un réseau connecté. • Utile pour le protocole OSPF

On a donc ces lignes à taper :

On peut vérifier si la manipulation a bien aboutie :

R2(config)#int loopback 0 R2(config-if)#ip address 209.165.200.225 255.255.255.224

6

TP 2

: FI

RE

WAL

L |

18

/09

/20

14

VLAN SUR LES 3 COMMUTATEURS

Il est demandé de faire un VLAN regroupant les 3 switch.

Il suffit de taper ces lignes de commande dans l’onglet CLI des switch :

Même manipulation pour les autres commutateurs.

PASSERELLE PAR DEFAUT DES COMMUTATEURS

Cette commande met 192.168.10.1

comme passerelle par default pour

Comm1 :

Comm1(config) #int vlan 1

Comm1 (config-if) #ip address 192.168.10.2 255.255.255.0

Comm1 (config-if) #no shutdown

Comm1(config) #ip default-gateway 192.168.10.1

7

TP 2

: FI

RE

WAL

L |

18

/09

/20

14

VERIFICATION DE LA CONNECTIVITE (PING)

Afin de vérifier si la connexion est établie sur le réseau, le ping est une bonne méthode.

Le PC3 du Comm3 ping le PC1 du Comm1.

8

TP 2

: FI

RE

WAL

L |

18

/09

/20

14

Tâche 2 : configuration d’une liste de contrôle d’accès standards

CONTROLE D’ACCES STANDARD STD-1 (R3)

On configure R3 avec une liste de contrôle standard (std-1).

Cette commande montre la liste de contrôle.

Sh access-lists

De plus, on remarque

bien que PC2 ne peut

pas ping PC3 du fait que

cette liste de contrôle d’accès bloque le trafic

provenant du réseau

192.168.11.0 /24.

9

TP 2

: FI

RE

WAL

L |

18

/09

/20

14

Tâche 3 : configuration d’une liste de contrôle d’accès étendue

CONTROLE D’ACCES ETENDUE EXTEND-1 (R1)

On configure R1 avec une liste de contrôle étendue (extend-1).

TEST DE LA LISTE DE CONTROLE D’ACCES

A partir de PC1 on essaye de ping l’adresse loopback de R2, la commande n’aboutie pas.

Or, la commande show ip access-list sur R1 (après la commande ping) nous révèle ce message :

Le ping de PC1 vers R2 a été

refusée alors qu’elle a été autorisée

vers R3

10

TP 2

: FI

RE

WAL

L |

18

/09

/20

14

Tâche 4 : contrôle de l’accès aux lignes vty à l’aide d’une liste de contrôle d’accès standard

CONTRÔLE D’ACCÈS STANDARD TASK-4 (R2)

On configure R2 avec une liste de contrôle standard (task-4).

11

TP 2

: FI

RE

WAL

L |

18

/09

/20

14

Tâche 5 : dépannage des listes de contrôle d’accès

On fait un show running-config sur R3 afin d’afficher toute la configuration du routeur.

On remarque bien une liste de contrôle d’accès nommée std-1 sur l’interface serial 0/0/0 de R3.

Pour supprimer cette liste d’accès (std-1), il

faut taper ces lignes dans CLI :

R3 (config)#interface serial 0/0/0 R3 (config-if)#no ip access-group std-1 in

12

TP 2

: FI

RE

WAL

L |

18

/09

/20

14

Une vérification peut être faite, toujours avec la commande show running-config.

On voit bien que

l’interface serial 0/0/0

n’a pas de liste d’accès.

Si l’on veut récupérer la liste de contrôle d’accès sti-d, on utilise cette combinaison de commandes :

TEST DE LA LISTE DE CONTROLE D’ACCES :

D’après le screen ci-dessous, R1 n’arrive pas à communiquer avec Comm3.

Cela s’explique par la liste d’accès des routeurs qui bloque les communications arrivant de certain réseau.

De plus, les compteurs de la liste de contrôle d’accès n’augmentent pas, cela est dû au refus global

implicite (« deny all ») placé à la fin de chaque liste de contrôle d’accès.

R3 (config)#interface serial 0/0/0

R3 (config-if)#no ip access-group std-1 out

R3 (config-if)#ip access-group std-1 in

13

TP 2

: FI

RE

WAL

L |

18

/09

/20

14

MESSAGES SIMILAIRES SUR R1 ET R2